Что изменилось в согласии на обработку персональных данных?
1 сентября 2021 года вступил в силу приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 18.
Этот приказ установил требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
За нарушение правил обработки персональных данных могут привлечь, прежде всего к административной ответственности. Максимальный размер административного штрафа за нарушение законодательства о защите персональных данных в отношении юридических лиц может составлять 16 миллионов рублей.
При составлении согласия на обработку персональных данных важно отличать предоставление и распространение персональных данных.
В отличие от распространения персональных данных неопределенному кругу лиц, предоставлением является раскрытие персональных данных определенному лицу или кругу лиц.
По своей сути распространением является публикация персональных данных в СМИ, объявлениях, отзывах, соцсетях и на других интернет-площадках. Но если Вы в передали, например, ФИО и контакты третьего лица в конкретную организацию без его согласия, то это будет считаться предоставлением персональных данных (ч. 5, ч. 6 ст. 3 ФЗ «О персональных данных»).
Законом допускается передача медицинской организацией персональных данных пациента без его согласия в целях исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 ФЗ «О персональных данных»).
Однако важно понимать, что формулировка «в целях исполнения договора» при её применении к фактическим обстоятельствам дела может вызвать спор, вплоть до судебного разбирательства.
В целях предотвращения подобных случаев лучше оформлять согласие на обработку персональных данных, в том числе, если данные используются непосредственно в рамках исполнения договора оказания платных медицинских услуг.
Если Вы сотрудничаете с лабораториями или клиниками, то согласие оформляется с указанием всех медицинских организаций, в которые направляются данные пациента вместе с образцами биоматериала.
О том, как обеспечивается защита персональных данных пациентов в медицинской организации вы можете узнать из нашего материала.
Итак, согласие должно содержать следующую информацию:
1. ФИО субъекта персональных данных;
2. контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
3. сведения об операторе - организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
сведения об операторе - физическом лице - фамилия, имя, отчество (при наличии), место жительства или место пребывания;
сведения об операторе-гражданине, являющемся индивидуальным предпринимателем, - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
4. сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5. цель (цели) обработки персональных данных;
6. категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
биометрические персональные данные;
7. категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
8. условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
9. срок действия согласия.
Кроме того, Роскомнадзор запустил сервис для подготовки формы согласия на обработку персональных данных!
С 1 июля появилось возможность для операторов персональных данных подготовить шаблон согласия в формате конструктора. После этого шаблон рассмотрит специалист Роскомнадзора и даст рекомендации по доработке, если это необходимо.
В шаблоне учтены обязательные с 1 сентября 2021 года требования.
Мы уже отвечали на вопрос о том, что нужно учесть при составлении согласия на обработку персональных данных.
Если вас интересует подробная информация о персональных данных пациента медицинской организации, о правилах её обработки, то вам сюда.